【企业安全】企业安全建设需求

## 前言 ##

近来“企业安全”这个话题比较火热,一个人的安全部、甲方安全建设相关文章倍受大家欢迎。网上已经有不少甲方安全建设相关文章,其中不乏身经百战之后的填坑解读,也有不少成功的安全项目分享,但大多都是非常体系化的结构。然而本文与之大相径庭,仅从甲方“搬砖工人”的角色出发看待整个企业的安全,结合切身负责或参与的项目,对自己平时工作中的所见+所闻+所思+所感进行记录总结。

之前在国内某老牌安全乙方公司,并没有体系化的做过企业安全建设相关项目;今年刚实现从乙方到甲方的角色转变,甲方安全建设之路也刚开始不久,没有经过系统化、工程化的安全资质培训;仅凭借自身的项目经历(渗透测试、APP安全评估、风险评估、代码审计、应急响应、安全培训等)+平时积累(甲方安全建设相关文章与书籍、向其他甲方安全大佬请教问题等)+最近甲方工作积累,出发视角较为狭小&高度不够,如果出现不足与错误之处,还望指出并劳驾见谅与包涵。

## 企业安全需求 ##

除了没有被外部黑客攻击造成财产损失外,影响企业难以花费成本在安全建设方面的因素还有很多,比如企业业务还没有到达一定规模、没有相关部门的监管、没有第三方的合作监督等。如果要想把公司的安全做好,首先需要获得领导的支持与重视,通常较为常见的有以下几种方式。

1) 安全事件

公司主页被纂改造成不良声誉影响,业务场景存在安全缺陷导致被恶意攻击造成财产损失,内网服务器被远程植入挖矿脚本占用大量系统资源,...各种安全事件层出不穷。作为甲方的安全人员,除了需要掌握必备的安全技能来应对安全事件的发生外,还应该充分认识到每次安全事件的宝贵性,合理、充分的利用安全事件。首先是对产生的原因、影响、危害等进行分析、评估、止血,其次是对原因进行深挖与扩展,联想到企业当前的安全威胁,使之与当前进行的安全项目甚至即将开展的、潜在的安全项目结合,发挥“一次安全事件,一波安全整改,一次企业安全能力提升”的实质效果。

2) 合规检查

不少行业都会有相关机构的安全检查,比如拥有支付牌照的支付公司而言,每年多次的人民银行安全检查,各种合规性要求各种指标都需要达标。此外针对部分系统还要求过等级保护,这无疑又是一层安全的壁垒。

先从乙方公司的角度来看,之前参与过很多安全评估与等级保护的项目,大到运营商与巨头银行,小到基金公司与高等院校,觉得等级保护就那么几个常用招式:技术(漏洞扫描+渗透测试)+咨询(根据企业特点多个checklist走一遍),然后就是项目经理套路式的思维输出在固定模板的报告,交付甲方轻松+愉快。对于中小型公司而言,一般都是这样操作,但也遇到过一些真心想把安全做好的公司,即使不太懂但是头脑思路清晰、逻辑能力很强,每一个得出的结果都需要从头推论,甚至是常对得出的结果产生质疑,乙方人员要是说不出个一二三,别想蒙混过关。不过个人还是比较喜欢这样的客户,因为会使自己的服务水平和专业能力得到不断提升。最难忘的是想吐槽乙方安全公司销售为了单子,让安服工程师听从甲方要求任意篡改漏洞扫描报告,修改高、中危漏洞数量来达到上级部门的检查标准,这种活儿不禁会使人怀疑职业生涯。

站在甲方的角度考虑,各种合规检查无疑是目前来说具备效果的方法之一。因为没有统一详细落地的行业安全标杆,所以很难甄别是否具备足够的安全防御水平。基本需求是“有,总比没有好”,更高的渴望是“充分利用合规检查”落实企业安全建设。企业的安全能力与相关负责人、安全团队息息相关,究竟是务实还是专心搞政治分心做安全,往往取决于人。

3) 企业内鬼

当手握企业大量敏感数据,当工作不再那么负责与忠诚,当个人价值观远远高于企业价值观,再受到外部的金钱诱惑,企业内鬼很容易就会产生。“日防夜防,家贼难防”这句话说的很有道理,唯有进行一些安全建设,比如让员工远离敏感数据(敏感数据分级管理)、对重要文件进行严密保护或监控、员工上网行为管理等,才能减少该类事件的发生,从而避免企业遭受损失。

4) 产品竞争力

安全不是业务发展的阻力,而是产品的竞争力。这句话听起耳熟,说起容易,做起来难。不过无疑也是企业安全项目实施的推动力,从产品的角度出发,让安全成为产品的一个重要特性甚至是闪光点,吸引用户并使用户放心。这部分向客户介绍产品的安全设计理念、先进技术、安全架构甚至提供第三方权威机构的安全评估报告证明。

5) 三方合作要求

如果企业与其他大型互联网合作,一般都会对安全性有所要求。这种情况下,业务会主动找到安全人员为其做安全测试、安全评估,这算是企业安全需求中,业务方最主动的一种情形。这不难说明两个真相:

  • 对外部第三方推动业务安全,对内业务呈现主动趋势
  • 业务为主,凡是业务上需要的都会想办法实现与完成

所以在推动安全项目与公司各部门对接、沟通时,应主动足够去了解其业务特点,抓住他们的痛点和难点及时插入安全因素,甚至为其业务量身打造安全铠甲。

6) 网络安全法实施

从”企业出安全事故,请领导喝茶“的结果去推动安全项目也是十分有效的途径,从法律的角度出发,业务产品、开发会信服,领导也会听取。《网络安全法》条目较多,引用下面一条表明立场。

网络安全法第五十六条:发现网络存在较大安全风险或者发生安全事件的,可以按照规定的权限和程序对该网络的运营者的法定代表人或者主要负责人进行约谈。

## 未完待续 ##

企业安全建设系统文章刚开始,希望大家留言交流,共同探讨!

原文发布于微信公众号 - 我的安全视界观(CANI_Security)

原文发表时间:2018-01-10

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏养码场

一周播报|这家公司加班十天给十万,员工却说没兴趣......

养码人B:要我选,一开始就选方案一,为前端封一个门面,一开始可以简单做,避免接下来的由方案二迁到方案一的重构。

812
来自专栏机器人网

日本开发的“雨伞无人机”原型像大疆Mavic Pro无人机?

在酷热的夏天,为了遮挡骄阳,很多人不得不用双手撑起一把雨伞。为了解决这个问题,日本Asahi Power Service公司开发出一款称为Free Paraso...

682
来自专栏大数据文摘

快讯 | 苹果公司实现100%绿色能源供电,覆盖办公场所和数据中心

1112
来自专栏程序员互动联盟

优秀程序员最喜欢做的七件事

世界上的很多事情都是有规律的,就像 《高效能人士的七个习惯》,优秀的程序员也有七个主要特征。这些特征有些是先天具备的,也就是天赋,但有些是在日常的编程工作中学习...

3259
来自专栏企鹅号快讯

做程序员压力山大,很多人都快疯了

软件程序员在如今看来是一个既能挣钱又有工作保障的职业,但是,这种职业对你的精神健康却会造成巨大的伤害。 有两种事情几乎能让程序员疯掉。 一个是被人们称作“骗子综...

1886
来自专栏区块链入门

从产品逻辑和虚拟资产生态角度看区块链游戏

导读:目前看来,可行的3种数字资产生态分别是:内容提供者赚钱,普通玩家付钱使用;土豪付钱获得优质体验,普通玩家赚钱;技术更好更聪明的玩家赚钱,技术更差的玩家付钱...

732
来自专栏科技向令说

响铃:中美贸易战下的出口电商究竟怎么玩?

自从美国总统特朗普3月23日在白宫正式签署对华贸易备忘录,酝酿已久的中美贸易大战算是正式打响了。毫无疑问,从行业和企业的角度来看,这一波互联网浪潮中兴起的出口电...

742
来自专栏钱塘大数据

想要紧跟工业4.0时代,应该选什么专业?

导读:提前准备,未雨绸缪。站在高中生和高中生家长的视角,就是要提前进行专业准备,具体来说,在大学报志愿的时候要选择顺应工业4.0发展的专业。 工业4.0是德国...

3437
来自专栏大数据文摘

还想找个程序员当女婿?如果告诉你程序员就是下一代蓝领呢?

1273
来自专栏Python绿色通道

到底要不要去培训机构学习?

你花了很短的时间就能去上手一门行业,虽然你花了一些钱,但是你节省了大量的时间和精力,找到了高薪的工作,然后很快就可以把这个款项还上了。

712

扫码关注云+社区